Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
82<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
81<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
r ε<br />
(öffentlich bekannt)<br />
r ε<br />
r 0 r 1<br />
r 1<br />
r 0<br />
-1<br />
( r r ( r<br />
ε<br />
)<br />
0 1 )<br />
r r<br />
00 01<br />
ƒ präf<br />
KSig =<br />
r 1<br />
r 0<br />
•••<br />
b<br />
K-Signaturen<br />
r 01<br />
r 11<br />
r 10<br />
r 01<br />
r 00<br />
Hilfsreferenzen<br />
r<br />
j<br />
r<br />
00<br />
r r<br />
010 011<br />
•••<br />
•••<br />
r 011<br />
r 010<br />
010<br />
R<br />
R-Signatur:<br />
-1<br />
RSig = ƒ<br />
präf ( R ) ( r )<br />
010<br />
010<br />
r 011<br />
r 010<br />
R 010<br />
m<br />
N-Signatur:<br />
-1<br />
NSig = ƒ (<br />
präf ( m ) R )<br />
010<br />
R 011<br />
R 010<br />
R<br />
i<br />
Referenzen<br />
Bild 3-25: Referenzenbaum<br />
Bild 3-26: Signatur unter m bezüglich Referenz R 2<br />
Effizienzverbesserungen: Zunächst muß man beachten, daß der Signierer nicht den ganzen<br />
Referenzenbaum vorweg generieren muß, sondern immer nur die Referenz Ri , die er gerade braucht,<br />
<strong>und</strong> die im Baum darüberliegenden Hilfsreferenzen <strong>und</strong> deren Geschwister (da diese jeweils<br />
zusammen authentisiert werden). Was zu e<strong>in</strong>er Zeit zu speichern ist, sieht man am Beispiel R2 also<br />
gerade <strong>in</strong> Bild 3-26.<br />
Der Unterzeichner kann für jede Signatur aus der jeweils vorigen den geme<strong>in</strong>samen Anfangsabschnitt<br />
des Pfades im Referenzenbaum mit allen zugehörigen, bereits berechneten K-Signaturen <strong>in</strong><br />
den neuen Signaturkopf übernehmen. Es empfiehlt sich daher, nicht nur die weiterh<strong>in</strong> benötigten<br />
Hilfsreferenzen, sondern den gesamten Signaturkopf der vorherigen Signatur im „Gedächtnis“ zu<br />
behalten.<br />
Für jede Signatur wird nun e<strong>in</strong> Signaturkopf berechnet, der die aktuelle Referenz Ri bezüglich des<br />
öffentlichen rε authentisiert. Dies geschieht folgendermaßen:<br />
Beg<strong>in</strong>nend mit der öffentlichen Referenz rε, der Wurzel des Referenzenbaumes also, wird jede<br />
Hilfsreferenz rj auf dem Pfad von rε nach Ri benutzt, um ihre beiden Nachfolgeknoten rj0 <strong>und</strong> rj1 zu<br />
signieren (Beispiel <strong>in</strong> Bild 3-26): rj0 <strong>und</strong> rj1 werden dazu (mit Trennzeichen) konkateniert, als<br />
„Nachricht“ <strong>in</strong>terpretiert <strong>und</strong> präfixfrei abgebildet. Dann wird die Signatur KSig := f –1<br />
präf( rj0| rj1) (rj)<br />
gebildet. Diese Knotensignaturen werden im folgenden kurz K-Signaturen genannt. Schließlich wird<br />
die angehängte Referenz Ri mit RSig := fpräf(Ri ) –1 (ri ) authentisiert; diese Referenzsignatur wird im<br />
folgenden als R-Signatur bezeichnet. 72<br />
Da alle Referenzen rj an den Knoten des Referenzenbaumes, die im Signaturkopf zu authentisieren<br />
s<strong>in</strong>d, etwa die gleiche Länge haben, kann hier e<strong>in</strong>e feste Länge angenommen werden (kürzere<br />
Referenzen werden durch führende Nullen auf die korrekte Länge gebracht). Als Länge wird<br />
s<strong>in</strong>nvollerweise gerade der <strong>Sicherheit</strong>sparameter l gewählt, der die Länge des Modulus n (<strong>in</strong> Bit)<br />
festlegt. E<strong>in</strong>e zusätzliche präfixfreie Abbildung erübrigt sich also.<br />
Da die Berechnung der Umkehrfunktionen (f –1<br />
0 , f1 –1 ) aufwendiger ist als das Rechnen mit f0 <strong>und</strong> f1 ,<br />
sollte auf f –1<br />
0 , f1<br />
–1 weitestmöglich verzichtet werden. Es zeigt sich, daß tatsächlich nur e<strong>in</strong>mal je<br />
Signatur e<strong>in</strong>e Authentisierung mit f –1 , also f –1<br />
0 <strong>und</strong> f1 –1 erfolgen muß:<br />
Bei jeder neuen Signatur kann der Signaturkopf zunächst „von unten“ mittels f0 <strong>und</strong> f1 berechnet<br />
werden: Die N-Signatur NSig für die Nachricht m wird zufällig gewählt <strong>und</strong> die Referenz als Ri :=<br />
fpräf(m) (NSig) berechnet. (Da f0 <strong>und</strong> f1 Permutationen s<strong>in</strong>d, garantiert die Zufälligkeit von NSig auch<br />
die von Ri.) Anschließend wird die R-Signatur RSig zufällig gewählt <strong>und</strong> ri berechnet usw., bis e<strong>in</strong><br />
„Verb<strong>in</strong>dungsknoten“ erreicht ist, an dem der übernommene Pfadteil mit dem soeben neu berechneten<br />
verknüpft werden muß. Hier ist e<strong>in</strong> e<strong>in</strong>ziges Mal mit f –1<br />
0 <strong>und</strong> f1 –1 zu rechnen (Bild 3-27).<br />
Beim Testen ist also nicht nur die N-Signatur zu überprüfen, sondern auch die b K-Signaturen zu<br />
sämtlichen Knoten rj des Pfades durch den Referenzenbaum <strong>und</strong> die R-Signatur der Referenz Ri . Der<br />
dadurch entstehende zusätzliche Aufwand fällt jedoch, wie Aufwandsabschätzungen zeigen, bei<br />
längeren Nachrichten kaum <strong>in</strong>s Gewicht.<br />
72<br />
Für K- <strong>und</strong> R-Signaturen ist e<strong>in</strong> anderes Geheimnis zu verwenden als für die N-Signaturen; dies wird im<br />
<strong>Sicherheit</strong>sbeweis benötigt <strong>und</strong> ist <strong>in</strong> Bild 3-28 gezeigt. Im folgenden wird diese Unterscheidung aus<br />
Übersichtlichkeitsgründen meist nicht erwähnt, z.B. schreiben wir e<strong>in</strong>fach p <strong>und</strong> q, obwohl es für N-Signaturen<br />
andere s<strong>in</strong>d als für K- <strong>und</strong> R-Signaturen. Welche geme<strong>in</strong>t s<strong>in</strong>d, ist aus dem Kontext klar.<br />
Auch die Notwendigkeit der R-Signaturen wird nur im Beweis klar.